Witam,
piszę auto logowanie w php na ciasteczkach i mam parę pytań:
1. Co mam zapisywać w ciasteczkach? tylko login, ale to nie jest dobry pomysł, bo przecież ktoś może zmienić w ciachach login i zalogować się na kogoś innego, może id sesji, hmm.
2. Czy te dane jakoś szyfrować?
3. Ogólny plan jest taki: wchodzi ktoś na stronę, ja requairuje sprawdzenie po czy istnieją ciasteczka i czy są ważne, jeśli tak to go loguję. ( Dobrze myślę?)
Proszę o skorygowanie oraz naprowadzenie mnie na odpowiedni tok myślenia, oraz aby mój system logowania był bezpieczny. Najbardziej zależy mi na odpowiedzi na pytanie 1.
pozdrawiam
Pełna wersja: [php]autologowanie
Było ostatnio poruszane na forum ze 2 razy, a w przeszłości także pare razy, poszukaj to nie boli.
Edit:
Na wszystkie Twoje pytania były tam odpowiedzi.
Edit 2:
A że mi się nudzi masz link gdzie ktoś pytał o podobne rzeczy: łap
Edit:
Na wszystkie Twoje pytania były tam odpowiedzi.
Edit 2:
A że mi się nudzi masz link gdzie ktoś pytał o podobne rzeczy: łap
Ja bym zrobil w bazie dodatkowa kolumna, tam zapisujesz dla kazdego usera hash np. data+Haslo+sol i pozniej w ciastku dajesz ten sam hash a pozniej gdy ktos wchodzi to sprawdzasz. Oczywiscie hash w bazie i w ciastku tworzysz jednoczesnie zeby wszystko sie zgadzalo
Czyli mam taki pomysł:
W momencie wysłania formularza i zaznaczonej opcji autologowanie generuję hash z: loginu, meila id i daty czy czegoś podobnego, zapisuję w ciachu ten hash i login. Hash zapisuję również w bazie. Przy wejściu na stronę klienta:
1. Sprawdzam czy jest ciasteczko i jego ważność
2. Biorę login, oraz hash z ciastek, a następnie spradzam czy hash w bazie i w ciastku jest taki sam dla loginu pobranego z ciasteczek, jeśli tak loguję gościa
Powiedźcie mi czy to jest dobry pomysł, a przede wszystkim czy bezpieczny, może niepotrzebnie utrudniam.
W momencie wysłania formularza i zaznaczonej opcji autologowanie generuję hash z: loginu, meila id i daty czy czegoś podobnego, zapisuję w ciachu ten hash i login. Hash zapisuję również w bazie. Przy wejściu na stronę klienta:
1. Sprawdzam czy jest ciasteczko i jego ważność
2. Biorę login, oraz hash z ciastek, a następnie spradzam czy hash w bazie i w ciastku jest taki sam dla loginu pobranego z ciasteczek, jeśli tak loguję gościa
Powiedźcie mi czy to jest dobry pomysł, a przede wszystkim czy bezpieczny, może niepotrzebnie utrudniam.
1. nie musisz zapisywać hash'a w bazie, niepotrzebne moim zdaniem.
2. W ciachu możesz zapisywać id użytkownika zamiast loginu.
2. W ciachu możesz zapisywać id użytkownika zamiast loginu.
To z czym pozniej porowna hash ? Jesli by chcial zrobic data+login to i tak by musial gdzies przechowac date 
hash możesz zrobić z danych user'a które się nie zmienią w długim czasie i tyle, hash z tych samych danych daje ten sam hash.
Zresztą się powtarzam wszystko pisałem w tamtym topic'u .
Zresztą się powtarzam wszystko pisałem w tamtym topic'u .
To proszę, odpowiedzcie jednoznacznie na to pytanie:
Jak stworzyć w pełni bezpiecznego hasha, tak aby móc potem sprawdzić jego poprawność?
Jak stworzyć w pełni bezpiecznego hasha, tak aby móc potem sprawdzić jego poprawność?
sposob melkorma bedzie jednak lepszy bo nie zajezdza tak bazy 
i tak jak ktos odkoduje hash to bedzie mial nasze dane..
P.S 100 post :]
i tak jak ktos odkoduje hash to bedzie mial nasze dane..P.S 100 post :]
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.